P3: Considérations sur Safe Failure Fraction (SFF) en cas de forte et de faible demande

Dans un article précédent, nous avons présenté un paramètre important, utilisé à la fois dans les systèmes de sécurité en mode demande élevée et en mode demande faible : la fraction de défaillance sûre(SFF).

Dans cet article, nous abordons certains aspects critiques liés à l’utilisation du SFF. Nous présentons également certaines exigences pour que les défaillances soient définies comme détectables.

Nous rappelons dans l’article précédent que la fraction de défaillance sûre est représentée par l’équation suivante :

SFF = (λS+λDD) / (λS+λD ).

Elle est utilisée avec la tolérance aux défaillances matérielles (HFT) du sous-système de sécurité pour déterminer son niveau SIL maximal atteignable.

En mode de fonctionnement « faible demande », la SFF est utilisée lorsque la route 1H est sélectionnée et, selon le type de composant, l’un des deux tableaux suivants doit être utilisé.

En mode de fonctionnement à forte demande, la IEC 62061 présente le tableau de référence suivant, valable pour tout type de composant. Nous rappelons que la classification des types A et B n’est pas applicable en mode « forte demande ».

Les paragraphes indiqués dans le tableau sont tirés de la norme IEC 61508-2: 2010.

Cela signifie que si le transmetteur de pression en question est utilisé dans un sous-système d’architecture HFT=1, le SIL maximal atteignable est SIL3.

L’utilisation du paramètre SFF pose un autre problème. Compte tenu de la définition du SFF, la sécurité d’un composant peut être améliorée en réduisant le taux de défaillances dangereuses et en augmentant le taux de défaillances sûres, à condition que le taux de défaillance total du composant reste inchangé.

Ainsi, la situation suivante peut se présenter : un fabricant de composants a conçu et développé un produit dont le taux de défaillance sécuritaire est estimé à 2·10-8 ^, mais dont le SFF est estimé à 50 %. L’entreprise modifie la conception pour augmenter le taux de défaillance sécuritaire et/ou détecter les défaillances dangereuses, mais le composant modifié n’apportera pas de sécurité accrue et entraînera des pertes économiques pour l’utilisateur, car son processus sera soumis à un nombre accru de déclenchements intempestifs.

Alors, un SFF élevé est-il synonyme d’une conception plus sûre ? Experts en fiabilité, intégrateurs et utilisateurs s’interrogent sur la pertinence du SFF comme indicateur d’une conception sûre. En effet, les défaillances sûres ne sont pas toujours bénéfiques pour la sécurité, car des interventions intempestives peuvent créer d’autres situations dangereuses lors du redémarrage du processus. De plus, augmenter le pourcentage de SFF peut obliger à ajouter du matériel inutile, ce qui ne fait qu’accroître les défaillances sûres. Un taux de défaillance « sûr » élevé constitue indéniablement un avantage commercial pour les fabricants de composants, car il augmente le SFF. Avec un SFF élevé, les composants peuvent être utilisés dans des configurations à faible HFT, ce qui représente une augmentation de l’activité du fabricant.

À titre d’exemple, considérons les deux composants suivants utilisés dans le sous-système HFT = 0 en forte demande (IEC 62061).

Composante 1 :

• λ _DU = 50 FIT
• λ _DD = 0 AJUSTEMENT
• λ _S = 0 AJUSTEMENT
• SFF = 0
• PFH _D = 50 FIT
• Niveau SIL maximal atteignable : SIL 1

Composante 2 :

• λ _DU = 50 FIT
• λ _DD = 3950 FIT
• λ _S = 1000 AJUSTEMENT
• SFF = 99%
• PFH _D = 50 FIT
• Niveau SIL maximal atteignable : SIL 3

En d’autres termes, les deux composants ont le même PFH _D ; l’un est « intrinsèquement sûr » et ne présente aucune défaillance sûre. Le second présente un taux de défaillance total plus élevé, mais une grande capacité à détecter les défaillances dangereuses ; de plus, il présente un certain nombre de défaillances sûres.

Le deuxième composant, bien qu’il ait le même PFH _D que le premier, peut être utilisé jusqu’à SIL3, uniquement parce qu’il possède de nombreuses saveurs sûres (DD et S).

C’est pourquoi, dans la deuxième édition de la norme CEI 61508, le concept de défaillances sans effet a été introduit : pour éviter la surestimation des défaillances sûres.

Il s’agit d’un aspect important mis en évidence dans l’édition 2021 de la norme IEC 62061.

Considérons un contacteur qui empêche la rotation d’une lame comme sous-système de sortie. La sous-fonction de sécurité est la suivante : lorsque la bobine du contacteur est désactivée, les contacts de puissance s’ouvrent.

Les défauts possibles du contacteur sont les suivants :

• Les contacts de puissance s’ouvrent lorsque la lame fonctionne normalement, même si personne n’a pénétré dans la zone protégée : il s’agit d’une défaillance certaine. Supposons que l’ouverture des contacts ne soit pas due à une perte du signal électrique ; le signal est présent, la bobine est alimentée (1 ⇒ 1), et pourtant les contacts de puissance s’ouvrent soudainement. Ce cas est considéré comme très improbable, et le taux de défaillance correspondant est donc de λ _S ≈
• Les contacts de puissance ne s’ouvrent pas lorsque, par exemple, une personne pénètre dans la zone protégée ; autrement dit, la bobine est hors tension (1 ⇒ 0) mais les contacts restent bloqués et ne s’ouvrent pas : c’est un défaut dangereux λ _D .
• Les contacts de puissance se ferment d’eux-mêmes bien que la bobine soit hors tension (0 ⇒ 0) : c’est un défaut dangereux λ _D .
• Si les contacts de puissance ne se ferment pas une fois, la fonction de sécurité est réinitialisée et le bouton de démarrage de la lame est activé, bien que la bobine soit alimentée (0 ⇒ 1). Ce défaut n’affecte pas la fonction de sécurité et affecte uniquement la disponibilité de la lame . Il s’agit donc d’un défaut sans effet λ _NE et non d’un défaut de sécurité.

Cela signifie, dans ce cas également, que λ _S ≈ 0 et donc

Il y a un autre aspect important à prendre en compte, c’est le fait que, dans un composant, nous pouvons définir une défaillance détectable dangereuse seulement si, en cas de défaillance, il est possible de mettre le sous-système dans un état sûr.

Par exemple, si l’on considère un sous-système de sortie constitué d’un contacteur de puissance surveillé (figure de gauche), le diagnostic doit être supposé égal à ≈ 0. En effet, si l’on détecte que les contacts de puissance ne se sont pas ouverts, il est impossible de mettre le système de sécurité en sécurité. En revanche, dans le cas d’un sous-système de sécurité à deux canaux (figure de droite), le diagnostic peut être supposé égal à ≈ 99 %. En effet, si l’on détecte que les contacts de puissance, par exemple de K1, ne se sont pas ouverts, il est possible de mettre K2 hors tension et ainsi de mettre le système de sécurité en sécurité.

Ce concept est désormais valable en forte demande, selon le langage suivant de la norme IEC 61508-2:2010

[IEC 61508-2 : CD 2023] 7.4.4 Contraintes architecturales d’intégrité de sécurité matérielle

[…] 7.4.4.1.4 Lors de l’estimation de la fraction de défaillance sûre d’un élément, destiné à être utilisé dans un sous-système avec une tolérance aux pannes matérielles égale à 0, et mettant en œuvre une fonction de sécurité, ou une partie d’une fonction de sécurité, fonctionnant en mode Haute demande ou Continu, les diagnostics ne sont pris en compte que si : 

• la somme de la moitié de l’intervalle de test de diagnostic et du temps nécessaire pour effectuer l’action spécifiée pour atteindre ou maintenir un état sûr est inférieure au temps de sécurité du processus ; ou,
• En cas de forte demande, le rapport entre le taux de tests diagnostiques et le taux de demande est égal ou supérieur à 100.

Cela sera probablement étendu aux composants utilisés en faible demande dans la nouvelle édition de la norme IEC 61508-2 attendue dans quelques années.

Dans cet article, nous avons décrit certaines limitations et aspects critiques du paramètre SFF.

Lors de l’élaboration de la première édition de la norme CEI 61508, la couverture de diagnostic CC était dérivée d’une ancienne norme allemande. Cependant, il a été constaté que certains appareils pouvaient ne pas offrir cette couverture, même s’ils étaient conçus pour détecter la plupart des défauts en état de sécurité (valve à ressort). Par conséquent, dès l’élaboration de la première édition, il a été convenu que cette couverture équivalait à la couverture de diagnostic CC et, après plusieurs discussions, la référence a été remplacée par SFF.

Cela a donné lieu à des « abus », qui ont été réduits dans la deuxième édition de la norme, avec la définition des défaillances « sans effet ». Celles-ci étaient considérées comme des défaillances sûres dans la première édition, ce qui a conduit certains laboratoires à attribuer un SFF excessivement élevé à certains composants.

La deuxième édition de la norme CEI 61508 précise également qu’il ne suffit pas qu’un composant soit capable de détecter des défaillances dangereuses pour être qualifié de défaillance dangereuse détectée. Il est important qu’en cas de défaillance dangereuse détectée, le système de sécurité puisse être rétabli dans un état sûr .

Enfin, en 2021, avec la nouvelle édition de la norme IEC 62061, il a été souligné que, normalement, les composants électromécaniques n’ont pas de défaillances sûres et donc, généralement, SFF = DC.